EPU_El Derecho a la Privacidad en los Estados Unidos Mexicanos

Vista previa del material en texto

Presentado por la Red en Defensa de los 
Derechos Digitales (R3D) y Privacy International
Marzo 2018
Informe de actor interesado
Examen Periódico Universal
31o periodo de sesiones - México
El Derecho a la Privacidad 
en los Estados Unidos 
Mexicanos
2 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
2/19
Informe de actor interesado
Examen Periódico Universal
31o periodo de sesiones - México
www.privacyinternational.org
Marzo 2018
3 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
3/19
INTRODUCCIÓN
1. Este informe es presentado por la Red en Defensa de los Derechos Digitales 
(R3D) y Privacy International (PI). La Red en Defensa de los Derechos Digitales 
(R3D) es una organización no gubernamental, sin fines de lucro, ubicada en 
México, dedicada a la defensa de los derechos humanos en el entorno digital. 
Privacy International (PI) es una organización no gubernamental sin fines de lucro 
ubicada en Londres enfocada en la defensa, promoción y protección del derecho 
a la privacidad alrededor del mundo.
2. PI y R3D desean presentar preocupaciones en torno a la situación de violación al 
derecho a la privacidad en México, para su consideración en el próximo examen 
a México dentro de la sesión 31 del Grupo de Trabajo del Examen Periódico 
Universal (EPU).
 
Derecho a la Privacidad
3. La privacidad es un derecho fundamental reconocido en numerosos instrumentos 
internacionales de derechos humanos.1 El derecho a la privacidad posibilita el 
ejercicio de otros derechos como el derecho a la libertad de expresión, libre 
asociación, el acceso a la información y es esencial para la dignidad de las 
personas y la viabilidad de los sistemas democráticos.
4. Las afectaciones al derecho a la privacidad sólo pueden ser justificadas cuando 
son establecidas por ley, necesarias para lograr un fin legítimo y proporcionales 
al objetivo perseguido. 
5. A partir del desarrollo de tecnologías de la información que han posibilitado la 
recopilación, conservación y el tratamiento masivo de datos, la protección al 
derecho a la privacidad se ha expandido al tratamiento de datos personales. 
Varios instrumentos internacionales incluyen principios de protección de datos 
personales2 y se ha incorporado en muchas leyes nacionales, como en la 
mexicana, tales principios.3
1
2
3
Declaración Universal de Derechos Humanos Artículo 12, Convención de las Naciones Unidas sobre 
Trabajadores Migrantes Artículo 14, Convención de Naciones Unidas sobre los Derechos del Niño Artículo 
16, Pacto Internacional sobre Derechos Civiles y Políticos Artículo 17; convenciones regionales 
incluyendo artículo 10 de la Carta Africana sobre los Derechos y el Bienestar del Niño, Artículo 11 
de la Convención Americana sobre Derechos Humanos, Artículo 4 de los Principios de la Unión Africana 
sobre Libertad de Expresión, Artículo de la Declaración Americana de los Derechos y Deberes del 
Hombre, Artículo 21 de la Carta Árabe sobre Derechos Humanos y Artículo 8 de la Convención Europea 
para la Protección de los Derechos Humanos y las Libertades Fundamentales; Principios de Johannesburgo 
sobre Seguridad Nacional, Libertad de Expresión y Acceso a la Información, Principios de Camden sobre 
Libertad de Expresión e igualdad. 
Consultar: Consejo de la Convención Europea para la Protección de Individuos con respecto al 
Procesamiento Automático de Datos Personales (Nº 108), 1981; Guía sobre protección de la privacidad 
y flujo transfronterizo de datos personales de la Organización para la Cooperación y el Desarrollo 
Económico (1980) y la Guía para la regulación de bases de datos personalizadas (Resolución 45/95 de la 
Asamblea General y E/CN.4/1990/72). 
Al 25 de enero de 2018, más de 100 países alrededor del mundo han adoptado leyes integrales de 
protección de datos personales y aproximadamente cuarenta países tienen pendiente la aprobación 
de leyes o iniciativas dedicadas a la protección de datos personales. Banisar, David, National 
Comprehensive Data Protection/Privacy Laws and Bills 2018. 25 de enero de 2018. Disponible en: https://
ssrn.com/abstract=1951416
4 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
4/19
 
El derecho a la privacidad en México
6. La Constitución Política de los Estados Unidos Mexicanos reconoce el derecho a 
la privacidad en el artículo 16, que determina: 
“Nadie puede ser molestado en su persona, familia, domicilio, papeles o 
posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que 
funde y motive la causa legal del procedimiento”.4
7. Respecto del derecho a la privacidad de las comunicaciones privadas, el artículo 
16 constitucional también señala que: 
“Las comunicaciones privadas son inviolables. La ley sancionará penalmente 
cualquier acto que atente contra la libertad y privacía de las mismas, excepto 
cuando sean aportadas de forma voluntaria por alguno de los particulares que 
participen en ellas. El juez valorará el alcance de éstas, siempre y cuando 
contengan información relacionada con la comisión de un delito. En ningún caso se 
admitirán comunicaciones que violen el deber de confidencialidad que establezca 
la ley.
Exclusivamente la autoridad judicial federal, a petición de la autoridad federal 
que faculte la ley o del titular del Ministerio Público de la entidad federativa 
correspondiente, podrá autorizar la intervención de cualquier comunicación privada. 
Para ello, la autoridad competente deberá fundar y motivar las causas legales de 
la solicitud, expresando además, el tipo de intervención, los sujetos de la misma 
y su duración. La autoridad judicial federal no podrá otorgar estas autorizaciones 
cuando se trate de materias de carácter electoral, fiscal, mercantil, civil, laboral o 
administrativo, ni en el caso de las comunicaciones del detenido con su defensor.”
8. La Ley Federal de Protección de Datos Personales en Posesión de los Sujetos 
Obligados5 y la Ley Federal de Protección de Datos Personales en Posesión de 
Particulares6 regulan el tratamiento de datos personales en México. 
9. La Constitución de México considera que todas las normas de derechos 
humanos contempladas en tratados internacionales se encuentran en el mismo 
nivel jerárquico que la Constitución. México es parte de todos los principales 
tratados de derechos humanos del sistema universal y del sistema interamericano 
de derechos humanos. 
 
Seguimiento del EPU anterior
10. El reporte presentado por México durante la sesión 17va del Examen Periódico 
Universal, que tomó lugar en octubre de 2013, no menciona el derecho a la 
privacidad. En los exámenes realizados a México en las sesiones pasadas 
4
5
6
Constitución Política de los Estados Unidos Mexicanos Artículo 16. Disponible en: http://www.diputados.
gob.mx/LeyesBiblio/pdf/1_150917.pdf 
Disponible en http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf 
http://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf
5 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
5/19
tampoco han habido recomendaciones por parte de los demás Estados 
miembros sobre el derecho a la privacidad, aun cuando habían varias 
recomendaciones sobre la necesidad de adoptar medidas apropiadas para 
proteger a periodistas y defensores de derechos humanos.
11. El resumen de los reportes presentados por varios interlocutores durante el 
examen anterior realizado a México incluye una recomendación presentada 
por Privacy International (PI) sobre la necesidad de contar con regulación y 
supervisión estricta por parte de autoridades judiciales y otras autoridades 
independientes sobre el uso de programas informáticos de vigilancia.7
 
ÁREAS DE PREOCUPACIÓN
A. La inadecuada regulación de la vigilancia de comunicaciones en México
12. En los últimos años, el Estado Mexicano ha incrementado sus facultades legales 
y su capacidad técnica para implementar medidas de vigilancia. Por ejemplo,se 
han expedido y reformado leyes como la Ley Federal de Telecomunicaciones y 
Radiodifusión, el Código Nacional de Procedimientos Penales y otras leyes para 
establecer medidas de vigilancia como las siguientes:
1. Retención masiva e indiscriminada de datos de comunicaciones
13. El artículo 190, fracción II, de la Ley Federal de Telecomunicaciones y 
Radiodifusión (LFTR) obliga a las empresas de telecomunicaciones a 
conservar, por dos años, un registro de comunicaciones de todos sus 
usuarios de manera indiscriminada. Este registro incluye una serie de datos 
conocidos como “metadatos de comunicaciones” como lo son: el origen 
y destino de las comunicaciones; su fecha, hora y duración; datos de 
identificación de los comunicantes y los dispositivos; e incluso la localización 
geográfica de los usuarios.
14. La revelación o análisis de estos datos puede comprometer la privacidad de 
todos los usuarios. La generación de este registro masivo e indiscriminado 
compromete de manera severa la privacidad, especialmente en caso de acceso 
ilícito a los mismos, producto de ataques informáticos o actos de corrupción. 
15. Es por ello que, por ejemplo, el Tribunal de Justicia de la Unión Europea 
ha invalidado disposiciones legales que contemplan obligaciones de 
conservación masiva e indiscriminada, en tanto no resultan restricciones 
necesarias o proporcionales al derecho a la privacidad8, el Consejo 
7
8
Resumen preparado por la Oficina del Alto Comisionado para los Derechos Humanos con arreglo al párrafo 
15 b) del anexo de la resolución 5/1 del Consejo de Derechos Humanos y al párrafo 5 del anexo de la 
resolución 16/21 del Consejo. Disponible en: https://documents-dds-ny.un.org/doc/UNDOC/GEN/G13/160/17/
PDF/G1316017.pdf?OpenElement 
TJUE. Digital Rights Ireland vs. Minister of Communications, Marine and Natural Resources y otros. Casos 
Conjuntos, C-293/12 y C-594/12, 8 de abril de 2014. Disponible en: http://curia.europa.eu/juris/celex.
jsf?celex=62012CJ0293&lang1=es&type=TXT&ancre=. Ver también TJUE. Tele2 Sverige AB v Post- och telestyrelsen 
and Secretary of State for the Home Department v Tom Watson y otros. Casos conjuntos C-203/15 y C-698/15, 21 de 
diciembre de 2016. Disponible en: http://curia.europa.eu/juris/celex.jsf?celex=62015CJ0203&lang1=en&type=TXT&ancre= 
6 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
6/19
de Derechos Humanos de Naciones Unidas ha reconocido que los 
“metadatos, cuando son agregados, pueden revelar información personal 
que es tan sensible como el contenido de las comunicaciones”,9 y el Comité 
de Derechos Humanos ha declarado en el mismo sentido que las políticas 
de retención de datos constituyen una interferencia con el derecho a la 
privacidad y que como regla general los Estados deben “abstenerse de 
imponer esquemas de retención de datos por terceras partes”.10
 
2. El acceso a datos de comunicaciones y la geolocalización en tiempo real
16. Tanto el acceso a los datos conservados por las empresas de 
telecomunicaciones, como el monitoreo, en tiempo real, de la localización 
de las y los usuarios de telecomunicaciones se encuentra regulada de 
manera deficiente en México. Por ejemplo, la LFTR no establece de 
manera clara, precisa y detallada qué autoridades pueden llevar a cabo 
dichas medidas de vigilancia, ni establecen las circunstancias y los 
procedimientos.
17. Tampoco se establece, de manera explícita, la necesidad de autorización 
judicial para llevar a cabo estas medidas de invasión a la privacidad. Lo 
anterior, tomando en cuenta el contexto de violaciones a los derechos 
humanos en México donde, además, el crimen organizado opera con la 
tolerancia, aquiescencia, control o dirección de parte de funcionarios 
públicos, el riesgo a la privacidad, la seguridad, la integridad física y la vida 
de la población se encuentra gravemente comprometida por medidas de 
vigilancia sin salvaguardas contra el abuso.
 
3. La ausencia de salvaguardas adecuadas contra la vigilancia abusiva
18. La legislación mexicana no contempla salvaguardas adecuadas y 
suficientes en contra del abuso de medidas de vigilancia secreta. Además 
de no establecerse de manera clara y explícita la necesidad de control 
judicial previo para todas las medidas de vigilancia, la legislación no 
contempla medidas como la supervisión independiente o el derecho de 
notificación al afectado. Lo anterior impide la detección, investigación y 
sanción de ejercicios abusivos de vigilancia.
19. Asimismo, si bien la legislación en materia de transparencia contempla 
algunas obligaciones de transparencia proactiva relativas a medidas de 
vigilancia, como publicar estadísticas sobre el empleo de vigilancia, en 
la práctica éstas no han sido implementadas y, de manera rutinaria, las 
autoridades y el poder judicial niegan el acceso a las mismas, incluso a 
versiones redactadas, lo cual impide el control social de estas actividades.
9
10
Resolución del Consejo de Derechos Humanos sobre el derecho a la privacidad en la era digital, UN doc. A/HRC/RES/34/7. 
Observaciones finales del cuarto reporte periódico de los Estados Unidos de América. Comité de Derechos 
Humanos de la ONU, U.N. Doc. CCPR/C/USA/CO/4, para. 22 (23 April 2014). 
7 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
7/19
B. La vigilancia ilegal y sin controles en México
20. Además de las deficiencias en la regulación de la vigilancia en México, se ha 
documentado el ejercicio ilegal y sin control de la vigilancia en México. En el 
Informe “El Estado de la Vigilancia: Fuera de Control”,11 la Red en Defensa de los 
Derechos Digitales (R3D) documenta diversas inconsistencias e ilegalidades.
21. En primer lugar, existen graves inconsistencias entre los datos reportados por 
las autoridades que intervienen comunicaciones privadas y los datos que ofrece 
el Poder Judicial de la Federación. Por ejemplo, entre 2013 y 2015, las fiscalías 
y procuradurías de justicia de los Estados de Colima, Zacatecas, Jalisco, 
Tabasco, Guerrero, Puebla, Querétaro y Quintana Roo reportan haber solicitado 
la autorización judicial para llevar a cabo intervenciones de comunicaciones 
privadas. Sin embargo, el Poder Judicial Federal no reporta ninguna solicitud.12
22. Igualmente, como muestra la figura a continuación, mientras que el Centro 
de Investigación y Seguridad Nacional (CISEN) reporta haber realizado 2002 
solicitudes de intervención de comunicaciones privadas entre 2013 y 2015, el Poder 
Judicial únicamente reconoce haber recibido 654. Por el contrario, mientras la 
Procuraduría General de la República (PGR) reporta haber solicitado la autorización 
judicial en 866 ocasiones, el Poder Judicial reporta 2392 solicitudes.13
11
12
13
Disponible en: https://r3d.mx/wp-content/uploads/R3D-edovigilancia2016.pdf 
R3D. Estado de la Vigilancia: Fuera de Control. 2016. Pág. 45. 
Ídem.
8 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
8/19
23. Por otro lado, como aparece en la figura siguiente, se ha documentado que el 
98.91% de las veces en las que una autoridad ha accedido a datos de usuarios 
de telecomunicaciones conservados por las empresas que prestan dichos 
servicios, lo ha hecho sin una autorización judicial. Lo mismo sucede para el caso 
de la geolocalización en tiempo real.14
24. Inclusive, se han documentado instancias en las que autoridades han accedido 
a datos de comunicaciones de usuarios sin siquiera poseer facultades legales, 
como el Tribunal Superior de Justicia de la Ciudad de México, el Gobierno de los 
Estados de México y de Colima o la Secretaría de Hacienda y Crédito Público.
25. El acceso ilegal a datos de usuarios ha sido facilitado por algunas empresas de 
telecomunicaciones. Mientras que AT&T rechazó cerca del 46% de las solicitudes 
que recibió de autoridades por no cumplir con los requisitos legales, el mayor 
operador, Telcel, no rechazó ninguna de las 87650 solicitudes de accesoa datos 
de usuarios recibidas en 2016 y el primer semestre de 2017.15
26. Además, se ha documentado la ineficiencia de las medidas de vigilancia para 
la investigación de delitos. Únicamente el 8% de las averiguaciones previas en 
las que se ha llevado a cabo alguna medida de vigilancia han culminado con 
14
15
Ibidem. Página 56. 
Dato obtenido de los informes remitidos por Concesionarios y Autorizados en la prestación del 
servicio de telecomunicaciones al Instituto Federal de Telecomunicaciones correspondientes 
al año 2016 y el primer semestre de 2017, disponibles en: https://drive.google.com/drive/
folders/1DPMpb8LJtF3foQBZaiVd3WwqKOoyfi5R?usp=sharing 
9 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
9/19
el ejercicio de la acción penal.16 Lo anterior sugiere que más del 90% de las 
personas vigiladas en el contexto de una investigación criminal no terminan 
siendo acusadas de ningún delito.
 
C. Adquisición y operación irregular de malware de vigilancia en México
27. En los últimos años se ha revelado que autoridades mexicanas han adquirido 
capacidades altamente sofisticadas de vigilancia. En particular, existe evidencia 
de que distintas autoridades, tanto federales como estatales, han adquirido la 
capacidad de infectar computadoras y teléfonos móviles con distintos tipos de 
programas maliciosos, que permiten a las autoridades extraer información de 
los dispositivos e incluso tomar su control para convertirlos en un mecanismo de 
vigilancia permanente.
28. Lo anterior ha sido potenciado por la ausencia de un marco legal que permita 
supervisar la adquisición y uso de estos programas maliciosos, y la falta de 
regulaciones en torno a las actividades de ‘hacking’ por parte del Estado.
29. El 5 de julio de 2015, una gran cantidad de correos electrónicos y documentos 
internos de la firma italiana Hacking Team fueron filtrados al público, exponiendo 
sus clientes y prácticas comerciales.17
30. De un total de 35 países, entre los que se encuentran Brasil, Chile, Colombia, 
Ecuador, Honduras y Panamá, México resultó ser el principal cliente de la 
firma,18 con transacciones hechas por parte de diferentes gobiernos locales, 
dependencias y agencias federales a través de diversas empresas intermediarias.
31. Entre las autoridades mencionadas con relaciones comerciales con Hacking 
Team se encuentran los Gobiernos de Baja California, Campeche, Chihuahua, 
Durango, Guerrero, Jalisco, Nayarit, Puebla, Querétaro y Yucatán; la Procuraduría 
de Justicia del Estado de México; la Secretaría de Seguridad Pública de 
Tamaulipas; y dependencias federales como la Secretaría de la Defensa 
Nacional, el Centro de Investigación y Seguridad Nacional, la Policía Federal, la 
Procuraduría General de la República, e incluso, Petróleos Mexicanos (PEMEX). 
La gran mayoría de autoridades listadas, ni siquiera posee facultades legales 
para intervenir comunicaciones privadas, por lo que tanto su adquisición como su 
uso son claramente ilegales.
32. En agosto de 2016, Citizen Lab,19 un laboratorio interdisciplinario de la escuela 
Munk de Asuntos Globales de la Universidad de Toronto, Canadá, reveló 
información sobre un sofisticado software de vigilancia comercializado a 
gobiernos por la empresa NSO Group, denominado Pegasus.
16
17
18
19
R3D. Estado de la Vigilancia: Fuera de Control. 2016. Páginas 71-74. 
Privacy International (6 de julio de 2015) Surveillance company Hacking Team exposed. Disponible en: 
https://www.privacyinternational.org/node/618 
Angel, A. (7 de julio de 2015) México, el principal cliente de una empresa que vende software para 
espiar. Animal Político. Disponible en: http://www.animalpolitico.com/2015/07/empresa-de-hackers-
exhibida-por-venta-de-software-espia-a-paises-represores-y-mexico-resulta-su-principal-cliente/ 
Citizen Lab (2016) About Citizen Lab. Disponible en: https://citizenlab.org/about/ 
10 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
10/19
33. Según la investigación de Citizen Lab, la mayoría de los dominios de la 
infraestructura de NSO se encuentran vinculados a México, lo cual hacía 
presumir que autoridades mexicanas son clientes de NSO y que personas en 
México podrían haber sido objetivos de esta forma de vigilancia.
34. Existe evidencia de que autoridades mexicanas como la Secretaría de la Defensa 
Nacional (SEDENA), la Procuraduría General de la República (PGR) y el Centro 
de Investigación y Seguridad Nacional (CISEN) habrían comprado el software 
Pegasus de NSO. Inclusive, se han revelado graves irregularidades en el proceso 
de contratación del software Pegasus por parte de la PGR.20 Así como su 
utilización en contra de defensores de derechos humanos y periodistas como se 
detalla en el apartado siguiente.
 
D. Espionaje de periodistas y defensores de derechos humanos en México
35. Se han documentado varias instancias en las que la vigilancia, y en particular, 
herramientas de malware de vigilancia han sido utilizadas en contra de disidentes, 
periodistas y defensores de derechos humanos. 
36. En febrero de 2017, se dio a conocer que el Estado Mexicano utilizó malware 
de vigilancia desarrollado por la empresa israelí NSO Group, con el propósito 
de espiar a defensores de derechos humanos cuya lucha se enfoca a combatir 
la obesidad a través del aumento de impuestos a las bebidas azucaradas, 
incluyendo al director de la organización El Poder del Consumidor. Los ataques 
perpetrados contra los activistas tuvieron lugar mientras se planeaba una 
campaña en favor del impuesto a las bebidas azucaradas.21
37. En junio de 2017, Citizen Lab, así como ARTICLE 19, la Red en Defensa de los 
Derechos Digitales (R3D) y SocialTIC publicaron el informe “Gobierno Espía: 
Vigilancia sistemática a periodistas y defensores de derechos humanos en 
México”,22 en la cual se da cuenta de múltiples casos de intentos de infección 
con el malware Pegasus.23
38. En total se han documentado más de 100 mensajes de texto con enlaces que 
dirigen a dominios de Internet identificados como parte de la estructura de NSO. 
Esto implica que los mensajes analizados corresponden a intentos de infección 
con el malware Pegasus.
20
21
22
23
MCCI. PGR compró Pegasus a prestanombres. Julio de 2017. https://contralacorrupcion.mx/web/
pgrcompropegasus/index.html 
Perlroth, Nicole (11 de febrero de 2017) Spyware’s Odd Targets: Backers of Mexico’s Soda Tax. The New 
York Times. Disponible en: https://www.nytimes.com/2017/02/11/technology/hack-mexico-soda-tax-advocates.
html?smid=fb-share&_r=0 ; Scott-Railton, John. Marczak, Bill. Guarnieri, Claudio. Crete-Nishihata, 
Masashi. Bitter Sweet: Supporters of Mexico’s Soda Tax Targeted With NSO Exploit Links. The Citizen 
Lab. Disponible en: https://citizenlab.org/2017/02/bittersweet-nso-mexico-spyware/ ; R3D. Destapa la 
Vigilancia: promotores del impuesto al refresco, espiados con malware gubernamental. Disponible 
en: https://r3d.mx/2017/02/11/destapa-la-vigilancia-promotores-del-impuesto-al-refresco-espiados-con-
malware-gubernamental/ 
Disponible en: https://r3d.mx/gobiernoespia/ 
Ver también: Ahmed, Azam. Perlroth, Nicole. (June 19, 2017) Using Texts as Lures, Government Spyware 
Targets Mexican Journalists and Their Families. The New York Times. Disponible ent: https://www.
nytimes.com/2017/06/19/world/americas/mexico-spyware-anticrime.html 
11 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
11/19
39. Entre las más de 20 personas y organizaciones que ha sido documentado 
que recibieron mensajes con la intención de infectar sus dispositivos con el 
malware Pegasus incluye a defensores de derechos humanos, periodistas, 
activistas anticorrupción e incluso menores de edad:
• Centro Miguel Agustín Pro Juárez (Centro Prodh): Entre los meses de 
abril y junio del año 2016, tres personas dentro de la organización recibieron 
mensajes que se ha confirmado constituyen intentos de infección con el 
malwarede espionaje Pegasus. Los mensajes fueron recibidos en fechas 
clave dentro del trabajo de defensa de derechos humanos que el Centro 
Prodh ha realizado en casos de alto impacto como la desaparición forzada 
de 43 estudiantes de Ayotzinapa, la masacre de Tlatlaya y los casos de 
tortura sexual en Atenco.
• Aristegui Noticias (Carmen Aristegui, Emilio Aristegui, Rafael Cabrera 
y Sebastián Barragán): Se documentaron mensajes recibidos en los años 
2015 y 2016 por Carmen Aristegui, por su hijo Emilio y por integrantes de 
su equipo de investigación como Sebastián Barragán y Rafael Cabrera. En 
los últimos años, la actividad periodística de Aristegui Noticias ha revelado 
casos de corrupción como el reportaje de la Casa Blanca24 o exponer una 
red de prostitución25 que operaba desde las oficinas del PRI en la Ciudad 
de México. Además, ha hecho reportajes sobre casos de violaciones graves 
a derechos humanos en México como la desaparición forzada de los 43 
estudiantes normalistas de Ayotzinapa.26 
Es importante enfatizar que, al momento de recibir los mensajes, Emilio era 
menor de edad. Lo anterior representa el primer ataque documentado con 
este malware contra un familiar directo de un objetivo y, en total, se fueron 
contabilizados más de 40 intentos contra el hijo de la periodista.
• Carlos Loret de Mola (Periodista): Periodista de radio, televisión y 
columnista impreso. Su programa de televisión “Despierta con Loret” 
(antes “Primero Noticias”) es el noticiario con mayor audiencia en el país. 
Se ha documentado que entre agosto de 2015 a abril de 2016 recibió al 
menos 8 mensajes que pretendían infectar su dispositivo con el malware 
Pegasus. El primero de los mensajes fue recibido el mismo día que el 
periodista publicó27 un reportaje sobre ejecuciones extrajudiciales en 
Tanhuato, Michoacán.
24 
25
26
27
Cabrera, R., D. Lizárraga, I. Huerta y S. Barragán (9 de noviembre de 2014) “La casa blanca de Enrique 
Peña Nieto (investigación especial)”. Aristegui Noticias. Disponible en: http://aristeguinoticias.
com/0911/mexico/la-casa-blanca-de-enrique-pena-nieto/ 
“Video: Opera #RedProstitución en PRI-DF (investigación)” (2 de abril de 2014) Aristegui Noticias. 
Disponible en: http://aristeguinoticias.com/0204/mexico/opera-redprostitucion-en-pri-df-investigacion-mvs/ 
“Caso Iguala: 1 mes y no aparecen los 43 estudiantes” (24 de octubre de 2014) Aristegui Noticias. 
Disponible en: http://aristeguinoticias.com/2410/mexico/caso-iguala-1-mes-y-no-aparecen-los-43-
estudiantes/ 
Loret de Mola, C. (5 de agosto de 2015) “Nueva ejecución extrajudicial”. El Universal. Disponible en: 
http://www.eluniversal.com.mx/entrada-de-opinion/columna/carlos-loret-de-mola/nacion/2015/08/5/nueva-
ejecucion-extrajudicial; (1 de septiembre de 2015) “Tanhuato: las pruebas que hacen tropezar al 
gobierno (I)”. El Universal. Disponible en: http://www.eluniversal.com.mx/entrada-de-opinion/columna/
carlos-loret-de-mola/nacion/2015/09/1/tanhuato-las-pruebas-que-hacen 
12 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
12/19
• Instituto Mexicano por la Competitividad (IMCO): Se ha documentado 
que el director de la organización, Juan Pardinas y otra integrante de dicha 
organización, Alexandra Zapata, recibieron mensajes intentando infectar 
su dispositivo. IMCO ha sido una de las organizaciones que ha liderado 
esfuerzos de incidencia para la reforma legal anticorrupción, en particular ha 
impulsado la ley conocida como “Ley 3 de 3”,28 la cual generó gran resistencia 
y ataques por parte de fuerzas políticas asociadas al gobierno federal.
• Mexicanos Contra la Corrupción y la Impunidad (MCCI): Se ha 
documentado que los periodistas Salvador Camarena y Daniel Lizárraga, 
Director General de Investigación Periodística y Jefe de Información de la 
organización respectivamente, recibió al menos 3 mensajes con malware de 
NSO en el año 2016. Salvador Camarena y Daniel Lizárraga en el pasado 
también fueron parte de Aristegui Noticias y participaron en investigaciones 
como la de revelación de los Panama Papers. Igualmente, el 30 de agosto 
de 2017 se revelaron ataques con el malware Pegasus en contra del director 
de la organización, Claudio X. González29 y fueron reveladas otras formas 
de intimidación por parte del gobierno federal en el periódico The New York 
Times.30
40. Aunado a lo anterior, el 10 de julio de 2017 Citizen Lab de la Universidad 
de Toronto ha confirmado en un nuevo informe, publicado también por el 
New York Times,32 que un teléfono del Grupo Interdisciplinario de Expertos 
Internacionales (GIEI) recibió mensajes de texto vinculados a la infraestructura 
del malware Pegasus; el envío de los mensajes de texto con enlaces maliciosos 
ocurre alrededor de uno de los casos más sensibles para el gobierno 
federal: la investigación sobre la desaparición forzada de 43 estudiantes 
(caso Ayotzinapa) lo que confirma la constante obstaculización por parte del 
gobierno federal en contra del grupo de expertos que puso en tela de juicio la 
llamada “verdad histórica” de la PGR en el caso Ayotzinapa, además de haber 
sido objeto de una constante campaña de descalificación para inhibir su labor.
41. Es importante resaltar que durante las fechas en que los periodistas, 
científicos, activistas y defensores de derechos humanos recibieron los 
mensajes con intentos de infección, estos se encontraban en coyunturas 
críticas de trabajo periodístico y de defensa de derechos humanos que les 
confrontaba con un actor común: el Gobierno Federal.
28
29
30
31
32
Cortés, J., Kaiser, M., Roldán, J. et al. (febrero de 2016) Iniciativa ciudadana de Ley general de 
responsabilidades administrativas. Disponible en: http://ley3de3.mx/wp-content/uploads/2016/02/Ley3de3_
LEY_IniciativaCiudadanaDeLeyGeneralDeResponsabilidadesAdministrativas_Documento.pdf 
Scott-Railton, John. Marczak, Bill. Razzak, Bahr Abdul. Crete-Nishihata, Masashi. Deibert, Ron. 
RECKLESS V: Director of Mexican Anti-Corruption Group Targeted with NSO Group’s Spyware. The Citizen 
Lab. Disponible en: https://citizenlab.ca/2017/08/nso-spyware-mexico-corruption/ 
Ahmed, Azam. (August 30, 2017) Un empresario activista lucha contra la corrupción en México y se 
convierte en un blanco del Estado. The New York Times. Disponible en: https://www.nytimes.com/
es/2017/08/30/mexico-pegasus-claudio-x-gonzalez-laporte-enrique-pena-nieto-corrupcion/ 
Scott-Railton, John. Marczak, Bill. Razzak, Bahr Abdul. Crete-Nishihata, Masashi. Deibert, Ron. 
RECKLESS III: Investigation Into Mexican Mass Disappearance Targeted with NSO Spyware. The Citizen Lab. 
Disponible en: https://citizenlab.ca/2017/07/mexico-disappearances-nso/ 
Ahmed, Azam. (July 10, 2017) Spyware in Mexico Targeted Investigators Seeking Students. The New York 
Times. Available at: https://www.nytimes.com/2017/07/10/world/americas/mexico-missing-students-pegasus-
spyware.html 
13 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
13/19
42. El 19 de junio de 2017, 9 de las víctimas de espionaje, acompañadas por 
organizaciones de la sociedad civil, presentaron una denuncia penal por los 
hechos revelados en los informes de “Gobierno Espía”, exigiendo transparencia 
en los procesos de contratación de Pegasus y una investigación con garantías de 
independencia.
43. En una de las primeras reacciones oficiales, el Presidente Peña Nieto minimizó la 
vulneración de la privacidad de todas las personas y amenazó a los denunciantes. 
Luego de admitir que el gobierno federal ha adquirido el malware Pegasus, el 
Presidente señaló que “ninguna de las personas que se sienta agraviada puede 
afirmar o mostrar o evidenciar siquiera que su vida se haya visto afectada por 
esas supuestas intervenciones y por ese supuesto espionaje”.33
44. Posteriormente el Presidente Peña Nieto concluyó profiriendo una amenaza en 
contra de las personas denunciantes al señalar que “espero que la PGR con 
celeridad pueda deslindar responsabilidades, y espero alamparo de la ley pueda 
aplicarse contra aquellos que han levantado estos falsos señalamientos”.34
45. Por otro lado, semanas después de la publicación del informe “Gobierno Espía”, 
en diversos medios de comunicación fueron publicados los contratos, anexos 
técnicos y otra información relativa a la adquisición de licencias para el uso de 
Pegasus por parte de la Agencia de Investigación Criminal de la PGR.35 Dentro 
de la investigación oficial, se ha confirmado que la PGR es usuaria del sistema 
Pegasus, no obstante, el Fiscal encargado del caso se ha negado a requerir los 
contratos, anexos técnicos o realizar cualquier acto de investigación dirigido a la 
Agencia de Investigación Criminal.
46. Ante las declaraciones del presidente y ante el hecho de que la PGR, encargada 
de la investigación oficial, es la principal sospechosa, las y los denunciantes 
y organizaciones solicitaron que se acepte un mecanismo de supervisión 
internacional a la investigación, de manera que la sociedad pueda contar 
con mínimas garantías de que la investigación contará con independencia, 
exhaustividad y rigor técnico.36
47. La gravedad de los hechos denunciados también ha motivado el pronunciamiento 
de organismos internacionales, por ejemplo, cuatro expertos de la Organización 
de las Naciones Unidas emitieron un comunicado37 en el que enfatizaron el deber 
33
34
35
36
37
Presidente Enrique Peña Nieto. Inauguración de Parque Industrial en Lagos de Moreno, Jalisco. 
México. 22 de junio de 2017; R3D. Con sus declaraciones, EPN condena al fracaso la investigación por 
#GobiernoEspía y amenaza a quienes han denunciado. 22 de junio de 2017. Disponible en: https://r3d.
mx/2017/06/22/con-sus-declaraciones-epn-condena-al-fracaso-la-investigacion-por-gobiernoespia-y-amenaza-
a-quienes-han-denunciado/ 
Ídem. 
Aristegui Noticias. El expediente Pegasus en PGR: radiografía de un sistema de espionaje. Disponible en: 
http://aristeguinoticias.com/1207/mexico/el-expediente-pegasus-en-pgr-radiografia-de-un-sistema-de-espionaje/ 
En particular, los autores del presente informe enviaron una carta y un informe al gobierno 
mexicano, apoyando formalmente la adopción del mecanismo señalado. Disponible en: https://www.
privacyinternational.org/advocacy-briefing/994/letter-and-briefing-human-rights-implications-reported-
mexican-government 
ONU. México: expertos de la ONU piden investigación independiente e imparcial sobre el uso de spyware 
contra defensores de DD HH y periodistas. Ginebra. 19 de julio de 2017. Disponible en: http://www.ohchr.
org/SP/NewsEvents/Pages/DisplayNews.aspx?NewsID=21892&LangID=S 
14 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
14/19
de las autoridades mexicanas de garantizar las condiciones necesarias para una 
investigación transparente, independiente e imparcial sobre las denuncias de 
la utilización del malware con la intención de espiar a defensores de derechos 
humanos, activistas y periodistas.
48. Por otra parte, la Iniciativa de las Mujeres Premio Nobel38 hizo un llamamiento el 
17 de julio al gobierno de México para acabar con la vigilancia cibernética y otro 
tipo de vigilancia sistemática contra los periodistas y activistas, y a poner fin a la 
criminalización de activistas y periodistas que investigan o enfrentan abusos de 
los derechos humanos.
49. Al finalizar su visita conjunta a México, los relatores para la libertad de 
expresión de la ONU y de la CIDH, expresaron su preocupación por el caso y 
recomendaron asegurar la independencia de la investigación sobre la compra 
y uso de malware (incluyendo “Pegasus” ) para vigilar periodistas, activistas y 
defensores de derechos humanos, así como adoptar medidas legislativas y 
controles judiciales adecuados para que las medidas de vigilancia se realicen 
con apego a los derechos humanos, incluso recomendaron que México debería 
considerar crear un órgano independiente para supervisar de manera efectiva las 
tareas de vigilancia del Estado.39
50. En sentido similar, el relator especial para personas defensoras de derechos 
humanos Michel Forst emitió su informe tras su visita al país en 2017, en el que 
señala que la vigilancia secreta a personas defensoras de derechos humanos, 
es un nuevo y preocupante desafío, especialmente al carecer de medidas 
adecuadas de control. Respecto a la adquisición de Pegasus por parte de las 
autoridades mexicanas y su aparente uso para vigilar a periodistas y personas 
defensoras, reiteró su llamamiento y el de otros expertos de las Naciones Unidas 
para que se lleve a cabo una investigación independiente e imparcial sobre la 
presunta vigilancia ilegal, al constituir una grave violación de los derechos a la 
privacidad y las libertades de expresión y asociación.40
 
E. Falta de investigaciòn diligente frente a casos de vigilancia ilegal de 
periodistas y defensores de derechos humanos
51. A pesar de la gravedad de los hechos, México no ha aceptado el establecimiento 
de un mecanismo internacional de supervisión y ni siquiera se han hecho públicos 
los documentos relacionados con la contratación y uso del malware Pegasus por 
parte de agentes del Estado Mexicano.
38
39
40
Menchú, Rigoberta. Williams, Betty. Ebadi, Shirin; R3D. Ganadoras del Premio Nobel piden investigación 
independiente e imparcial sobre el caso #GobiernoEspía. 24 julio de 2017. Disponible en: https://r3d.
mx/2017/07/24/ganadoras-del-premio-nobel-piden-investigacion-independiente-e-imparcial-sobre-el-caso-
gobiernoespia/ 
Observaciones preliminares del Relator Especial de la ONU sobre la libertad de expresión y el 
Relator Especial sobre libertad de expresión de la CIDH después de su visita conjunta en México, 27 
de noviembre – 4 de diciembre 2017. Disponible en: http://hchr.org.mx/images/doc_pub/ES-final-version-
preliminary-observations.pdf 
Report of the Special Rapporteur on the situation of human rights defenders on his mission to 
Mexico, 12 de febrero de 2018, A/HRC/37/51/Add.2. Disponible en: http://www.ohchr.org/EN/HRBodies/HRC/
RegularSessions/Session37/Pages/ListReports.aspx
15 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
15/19
52. A más de nueve meses del anuncio del inicio de la investigación por parte de 
la Fiscalía Especial para la Atención de Delitos cometidos contra la Libertad 
de Expresión (FEADLE) de la PGR, quien está a cargo de la investigación, la 
investigación no presenta avance alguno. Por el contrario, a pesar de que la 
representación de las víctimas, bajo la figura de coadyuvante, ha ofrecido o 
solicitado al menos 70 datos de pruebas, la Fiscalía se ha negado a acordar y 
llevar a cabo los actos de investigación solicitados por los denunciantes. 
53. La Fiscalía ha negado también copia del expediente de investigación 
a las víctimas y se ha negado a llevar a cabo actos de investigación 
indispensables, como la identificación de los funcionarios de la PGR 
capacitados y autorizados para utilizar el sistema Pegasus, realizar prácticas 
forenses en los equipos, servidores y materiales utilizados por los funcionarios 
de la PGR que operan el sistema Pegasus y ni siquiera ha requerido a 
dicha autoridad los anexos técnicos y otra información sobre el proceso de 
utilización de Pegasus por parte de la PGR.
54. Es importante resaltar que, en el expediente, la Agencia de Investigación Criminal 
(AIC) de la PGR ha aceptado que adquirió las licencias de uso de Pegasus y que 
el equipo desde el cual se opera dicho software se encuentra ubicado en sus 
oficinas de la Ciudad de México. Además, el Centro Nacional de Planeación, 
Análisis e Información para el Combate a la Delincuencia (CENAPI), como la 
AIC, en su respuesta a la FEADLE, señalan que para la correcta operación 
del software se tienen contempladas medidas de seguridad internas que 
contemplan la evaluación periódica y rigurosa del personal por el Centro de 
Evaluación y Control de Confianza de la PGR, así como medios de encriptación y 
codificación. Sinembargo, enseguida mencionan que “no se logró identificar una 
base de datos o expresión documental que contemple el registro de los números 
que pudieran ser intervenidos”.41
55. La alegada ausencia de registros sobre el uso de Pegasus, pone en evidencia 
lo señalado inicialmente sobre la ausencia de controles y salvaguardas bajo los 
que opera la vigilancia en México, sin controles adecuados sobre uso, resulta 
prácticamente imposible someterlos a una posterior revisión para identificar su 
correcto uso o en su caso, sancionar arbitrariedades o ilícitos. 
56. Por otro lado, la renuencia de parte de la Fiscalía de llevar a cabo actos de 
investigación respecto de la AIC de la PGR evidencia la falta de autonomía, 
imparcialidad y profesionalismo en la investigación, especialmente dado que 
tanto la autoridad que lleva a cabo la investigación, la FEADLE, como la única 
autoridad que ha aceptado el uso del malware Pegasus, la AIC, forman parte de 
la misma PGR. 
41
 
CARPETA DE INVESTIGACIÓN FED/SDHPDSC/UNAI-CDMX/0000430/2017, Oficio de respuesta de la AIC de fecha 14 de 
agosto de 2017 - PGR/AIC/0430/2017, Oficio de respuesta de la CENAPI de fecha 14 de agosto de 2017, PGR/
AIC/CENAPI/OT/DGAAJ/10077/2017
16 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
16/19
57. Como han señalado a The New York Times42 expertos forenses y la propia 
empresa fabricante del malware, NSO Group, un análisis forense de los 
servidores y equipos desde los que se opera el sistema Pegasus debería poder 
encontrar un registro de las infecciones realizadas con ese sistema. La Fiscalía se 
ha negado a hacer cualquier acto de investigación al respecto.
58. En un sentido similar, las investigaciones anunciadas por parte del Instituto 
Nacional de Acceso a la Información y Protección de Datos Personales (INAI) y 
por la Comisión Nacional de Derechos Humanos (CNDH) no han representado 
avances significativos, en parte, según ha sido revelado por dichas instituciones, 
debido a la obstaculización de sus diligencias por parte de la PGR.
RECOMENDACIONES
59. Recomendamos que el Estado Mexicano:
1. Establezca un grupo internacional de expertos que investigue de 
manera autónoma e independiente los casos de vigilancia ilegal de 
periodistas y defensores de derechos humanos.
2. Investigue diligentemente y sancione a los responsables intelectuales 
y materiales del espionaje ilegal a periodistas y defensores de 
derechos humanos con el malware Pegasus. 
a. La Fiscalía a cargo de la investigación oficial debe llevar a cabo 
todos los actos de investigación que resulten necesarios, como la 
identificación e investigación de todos los funcionarios de la Agencia de 
Investigación Criminal de la PGR que fueron capacitados para operar el 
sistema Pegasus o que participaron de cualquier manera en el proceso 
de selección de objetivos, en la operación y en el procesamiento de la 
inteligencia obtenida mediante ese sistema. Igualmente es indispensable 
que se realicen prácticas forenses en los equipos e instalaciones de la 
Agencia de Investigación Criminal destinados a la operación del sistema 
Pegasus.
b. Disponer una política de cooperación irrestricta de todos los órganos 
estatales con las investigaciones llevadas a cabo por órganos autónomos 
como el INAI y la CNDH, así como con el grupo internacional de expertos 
que sea establecido.
c. Transparentar proactivamente toda la información relativa a los procesos 
de contratación, incluyendo información técnica sobre las capacidades 
de vigilancia adquirida, celebrados entre las dependencias federales 
42
 
 
Ahmed, Azam, EE. UU. y las víctimas de Pegasus desestiman la investigación de espionaje, New 
York Times, 20 de febrero de 2018. Disponible en: https://www.nytimes.com/es/2018/02/20/mexico-fbi-
investigacion-pegasus-espionaje/?action=click&clickSource=inicio&contentPlacement=1&module=toppers&reg
ion=rank&pgtype=Homepage 
17 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
17/19
y estatales y cualquier empresa, con el objeto de adquirir equipos 
o licencias de uso de herramientas de vigilancia e intervención de 
comunicaciones privadas, reservando sólo informaciones específicas 
que de manera demostrable pongan en serio riesgo una investigación, 
amenace la vida o integridad de una persona.
d. Notificar a todos las personas que han sido objeto de ataques intrusivos 
hasta la fecha, incluyendo la base legal y normas pertinentes, si los 
hubiere, que rigen dichas actividades, o destruir todo el material obtenido 
a través de sus ataques intrusivos, ofreciendo a todos los personas 
que han sido objeto de sus ataques de intrusivos una vía de reparación 
efectiva.
3. Legisle e implemente las reformas necesarias para garantizar que 
la adquisición y operación de herramientas de vigilancia se lleve a 
cabo de manera legal, necesaria, proporcional y respetuosa de los 
derechos humanos.
a. El Código Nacional de Procedimientos Penales, la Ley Federal de 
Telecomunicaciones, la Ley de la Policía Federal, la Ley de Seguridad 
Nacional, la Ley Federal para Prevenir y Sancionar los Delitos en Materia 
de Secuestro, la Ley contra la Delincuencia Organizada y el Código 
Militar de Procedimientos Penales deben ser reformadas con el objeto de:
• Establecer con claridad y precisión las autoridades facultadas, las 
circunstancias y los procedimientos para intervenir comunicaciones 
privadas y acceder a los datos de comunicaciones (metadatos), así 
como para llevar a cabo la localización geográfica en tiempo real de 
equipos de comunicación.
• Establecer explícitamente la necesidad de contar con una 
autorización judicial previa y debidamente fundada para llevar a 
cabo medidas de vigilancia, salvo casos de emergencia en los que el 
control judicial deberá ser inmediato.
• Otorgar facultades efectivas de fiscalización y supervisión de los 
sistemas de vigilancia a una autoridad independiente, como pueden 
ser el Instituto Nacional de Acceso a la Información y Protección de 
Datos Personales o la Comisión Nacional de Derechos Humanos
• Reconocer el derecho de toda persona a ser notificado de 
injerencias estatales en su vida privada. Dicha notificación solamente 
podrá ser diferida cuando de manera demostrable dicha notificación 
obstaculice seriamente una investigación o ponga en riesgo la vida o 
integridad física de una persona.
b. Regular la adquisición y operación de herramientas de vigilancia intrusiva, 
implementando las siguientes salvaguardas para garantizar que estas 
actividades sean practicadas acorde a un enfoque de derechos humanos:
• Legalidad: las facultades de vigilancia deben estar autorizadas por 
una ley cpm límites claros y precisos.
18 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
18/19
• Seguridad e integridad de los sistemas: debe realizarse una 
evaluación sobre los riesgos y daños a la seguridad e integridad de 
las comunicaciones antes de llevar a cabo estas medidas.
• Necesidad y proporcionalidad: deben establecerse factores que 
permitan medir la probabilidad de ocurrencia de una amenaza contra 
un bien público protegido, información sobre el método, alcance y 
duración de la medida propuesta, y una evaluación de la seguridad.
• Autorización judicial: una autoridad imparcial e independiente 
debe decidir si aprueba o no la medida y supervisar su aplicación, 
incluyendo la posibilidad de consultar a expertos técnicos y de otras 
áreas.
• Integridad de la información: las autoridades gubernamentales 
no pueden añadir, alterar o borrar datos recolectados a través de la 
medida de intervención.
• Notificación: las autoridades gubernamentales deben notificar a 
las personas sujetas de vigilancia las circunstancias relativas a la 
medida.
• Destrucción y devolución de datos: las autoridades 
gubernamentales deben establecer un procedimiento de destrucción 
de datos irrelevantes a la investigación, además de establecerun 
registro de este procedimiento.
• Supervisión y transparencia: las autoridades deben someter 
sus facultades y actividades a un organismo de supervisión que 
sea independiente de los servicios de inteligencia y del gobierno, 
debiendo publicar información relacionada con las solicitudes.
• Extraterritorialidad: las autoridades deben cumplir sus obligaciones 
legales y abstenerse de utilizar medidas de cooperación internacional 
para eludir mecanismos legales.
• Remedios: las personas sujetas a las medidas de intervención 
estatal ilegal deben tener acceso a un recurso efectivo.
4. Derogue o se abstenga de aprobar legislación que contenga 
disposiciones en materia de vigilancia e intervención de 
comunicaciones privadas que:
a. Omitan señalar con precisión las autoridades facultadas para llevar a 
cabo medidas de vigilancia, faculte a autoridades no autorizadas por la 
Constitución o faculte a autoridades distintas de las civiles.
b. Establezcan medidas de vigilancia masiva.
c. Omitan establecer con precisión y claridad las circunstancias y 
procedimientos que deben seguirse para llevar a cabo medidas de 
vigilancia.
19 Informe de actor interesado Examen Periódico Universal 31o periodo de sesiones: México
19/19
d. No contengan controles democráticos y medidas de rendición de cuentas 
como el control judicial previo o inmediato, la supervisión independiente, 
la transparencia y el derecho de notificación. 
5. Elimine las obligaciones de conservación masiva e indiscriminada 
de metadatos de comunicaciones contempladas en el artículo 190, 
fracción II de la Ley Federal de Telecomunicaciones y Radiodifusión.